数据泄露防护（DLP）分域安全简述

　　目前，数据防泄露是信息安全的热点问题。随着网络应用的飞速发展、Internet应用的日益广泛，信息安全问题变得尤为突出。建立完善的数据泄露防护体系、保护核心资源，已迫在眉睫。鉴于目前内部局域网的现状，可以针对数据存储层和数据传输层进行加密，结合文档和数据生命周期，对内部网络分为终端、端口、磁盘、服务器、局域网四大区域，并针对数据库、移动存储设备、笔记本电脑等特例，统一架构，分别防护，实现分域安全。

　　一、数据泄露的主要威胁

　　电子文档多以明文方式存储在计算机硬盘中，分发出去的文档无法控制，极大的增加了管理的复杂程度。影响文档安全的因素很多，既有自然因素，也有人为因素，其中人为因素危害较大，归结起来，按照对电子信息的使用密级程度和传播方式的不同，我们将信息泄密的途径简单归纳为如下几方面：

　　1.由电磁波辐射泄漏泄密(传导辐射、设备辐射等)

　　这类泄密风险主要是针对国家重要机构、重要科研机构或其他保密级别非常高的企、事业单位或政府、军工、科研场所等，由于这类机构具备非常严密的硬保密措施，只需要通过健全的管理制度和物理屏蔽手段就可以实现有效的信息保护。

　　2.网络化造成的泄密(网络拦截、黑客攻击、病毒木马等)

　　网络化造成的泄密成为了目前企业重点关注的问题，常用的防护手段为严格的管理制度加访问控制技术，特殊的环境中采用网络信息加密技术来实现对信息的保护。访问控制技术能一定程度的控制信息的使用和传播范围，但是，当控制的安全性和业务的高效性发生冲突时，信息明文存放的安全隐患就会暴露出来，泄密在所难免。

　　3.存储介质泄密(维修、报废、丢失等)

　　便携机器、存储介质的丢失、报废、维修、遭窃等常见的事件，同样会给企业带来极大的损失，在监管力量无法到达的场合，泄密无法避免。

　　4.内部工作人员泄密(违反规章制度泄密、无意识泄密、故意泄密等)

　　目前由于内部人员行为所导致的泄密事故占总泄密事故的70%以上，内部人员的主动泄密是目前各企业普遍关注的问题，通过管理制度规范、访问控制约束再加上一定的审计手段威慑等防护措施，能很大程度的降低内部泄密风险，但是，对于终端由个人灵活掌控的今天，这种防护手段依然存在很大的缺陷，终端信息一旦脱离企业内部环境，泄密依然存在。

　　5.外部窃密

　　国家机密、军事机密往往被国外间谍觊觎，商业机密具备巨大的商业价值，往往被竞争对手关注。自古以来对机密信息的保护，都不可避免以防止竞争对手窃密作为首要目标。

　　二、数据泄露防护的实现方式

　　当前，数据泄露防护以动态加解密技术为核心，分为文档级动态加解密和磁盘级动态加解密两种方式。

　　1. 文档级动态加解密技术

　　在不同的操作系中(如WINDOWS、LINUX、UNIX等)，应用程序在访问存储设备数据时，一般都通过操作系统提供的API 调用文件系统，然后文件系统通过存储介质的驱动程序访问具体的存储介质。在数据从存储介质到应用程序所经过的每个路径中，均可对访问的数据实施加密/解密操作，可以研制出功能非常强大的文档安全产品。有些文件系统自身就支持文件的动态加解密，如Windows系统中的NTFS文件系统，其本身就提供了EFS(Encryption File System)支持，但作为一种通用的系统，难以做到满足各种用户个性化的要求，如自动加密某些类型文件等。由于文件系统提供的动态加密技术难以满足用户的个性化需求，第三方的动态加解密产品可以看作是文件系统的一个功能扩展，能够根据需要进行挂接或卸载，从而能够满足用户的各种需求。

　　2.磁盘级动态加解密技术

　　对于信息安全要求比较高的用户来说，基于磁盘级的动态加解密技术才能满足要求。在系统启动时，动态加解密系统实时解密硬盘的数据，系统读取什么数据，就直接在内存中解密数据，然后将解密后的数据提交给操作系统即可，对系统性能的影响仅与采用的加解密算法的速度有关，对系统性能的影响也非常有限，这类产品对系统性能总体的影响一般不超过10%(取目前市场上同类产品性能指标的最大值)。

　　三、数据泄露防护分域控制方案

　　在数据泄露防护方面，可以从不同角度来保证安全。单一针对某个局部的防护技术可能导致系统安全的盲目性，这种盲目是对系统的某个或某些方面的区域采取了安全措施而对其它方面有所忽视。因而，针对数据安全，我们采用分域控制方案，将整个网络分为终端、端口、磁盘、内部网络四种域，进而对各域的安全采取不同的技术措施。

　　1.终端

　　终端是指在接入内部网络的各个操作终端。为了保证安全，可以从四个方面采取措施：

　　1. 针对研发类、技术类局域网终端，可以采用文档透明加密系统加以控制。

　　2. 针对研发设计类之外的局域网终端，可以采用文档权限管理系统加以控制。

　　3. 从局域网发往外部网路的文档，可以采用文档外发控制系统加以控制。

　　4. 针对整个局域网内部文档和数据安全，可以采用文档安全管理系统加以控制。

　　2.端口

　　局域网和外部网络之间的网络端口，局域网各个终端的移动设备接入端口，以及各个终端的信息发送端口，可以采用两种方式加以控制：

　　1) 端口控制

　　对移动储存设备、软盘驱动器、光盘驱动器、本地打印机、数码图形仪、调制解调器、串行通讯口、并行通讯口、1394、红外通讯口、wifi无线网卡、无线蓝牙等进行启用和禁用/禁止手机同步等。

　　应用端口控制技术，可以使所有从端口输出的文档和数据自动加密，防止明文出口。

　　2) 移动设备接入控制

　　通过对外部移动设备接入访问控制，防止非法接入。

　　3.磁盘

　　所有的文档和数据都必须保存在存储介质上。存储介质主要包括PC机硬盘、工作站硬盘、笔记本电脑硬盘，移动存储设备(主要是U盘和移动硬盘)。对这些存储设备的磁盘和扇区进行控制，主要可以采用磁盘全盘加密技术和磁盘分区加密(虚拟磁盘加密)技术。

　　1) 磁盘全盘加密

　　磁盘全盘加密技术(FDE)是目前已经非常成熟的一项技术，能对磁盘上所有数据(进行动态加解密。包括操作系统、应用程序和数据文件都可以被加密。通常这个加密解决方案在系统启动时就进行加密验证，一个没有授权的用户，如果不提供正确的密码，就不可能绕过数据加密机制获取系统中的任何信息。

　　2) 磁盘分区加密

　　磁盘分区加密，顾名思义，就是对磁盘的某一个分区(扇区)进行加密。目前比较流行的虚拟磁盘加密就是对分区进行磁盘级加密的技术。这种技术在国内比较多，一般用于个人级的免费产品。

　　相应的产品有文档保险柜DocSec。

　　4.服务器

　　同样是应用文档级加密的数据泄露防护体系，针对服务器防护已有专门的产品。通常，用户的服务器有资源服务器(文档服务器等)和应用服务器(PDM、OA、ERP等服务器)，对这些服务器，可以采用网关级产品来进行保护。部署实施文档级安全网关之后，所有上传到服务器上的文档和数据都自动解密为明文，所有从服务器上下载的文档和数据都自动加密为密文。

　　5.内部网络

　　内部网络主要由各个终端和连接各个终端的网络组成。通过对各个终端硬盘和终端端口的加密管控，足以对内部网络进行全面控制，形成有效的内部网络防护体系。这种解决方案，其实是把磁盘全盘加密技术与网络端口防护技术相结合，形成整体一致的防护系统。相应的产品有磁盘全盘加密防护系统(TerminalSec)。

　　四、数据泄露防护分域控制方案特例

　　基于动态加解密技术的数据泄露防护体系用途非常广泛，并可以针对各个网络域定制开发出相对应的产品。以下是数据泄露防护分域控制方案针对网络域的几种典型例子。

　　1.移动存储设备

　　目前应用得最多的的移动存储设备是U盘和移动硬盘。针对这两种移动存储设备，目前通常采用的是磁盘分区加密技术，对磁盘分区或者扇区进行加密控制，所有从内部网络流转到移动存储设备的文档和数据都会自动加密保护。市面上有成熟的产品如安全U盘(UDiskSec)和安全移动硬盘(EDiskSec)可以选择。

　　2.数据库

　　使用数据库安全保密中间件对数据库进行加密是最简便直接的方法。主要是通过三种加密方式来实现：1.系统中加密，在系统中无法辨认数据库文件中的数据关系，将数据先在内存中进行加密，然后文件系统把每次加密后的内存数据写入到数据库文件中去，读入时再逆方面进行解密，2.DBMS内核层(服务器端)加密：在DBMS内核层实现加密需要对数据库管理系统本身进行操作。这种加密是指数据在物理存取之前完成加解密工作。3.DBMS外层(客户端)加密：在DBMS外层实现加密的好处是不会加重数据库服务器的负载，并且可实现网上的传输，加密比较实际的做法是将数据库加密系统做成DBMS的一个外层工具，根据加密要求自动完成对数据库数据的加解密处理。

　　针对以上三种数据加密方式的不足，目前已经有全新的数据库加密保护技术。通过磁盘全盘加密技术和端口防护技术，对数据库的载体(磁盘)进行全盘加密和数据流转途径(端口)进行控制，从而实现数据库加密保护。这种方式还能解决数据库加密方案最常见的问题——无法对数据库管理员进行管控。通过端口防护，即使数据库管理员能得到明文，但是因为端口已经被管控，所以数据依然不被外泄。

　　目前市场上成熟的产品有北京亿赛通公司的数据库加密防护系统(DataBaseSec)。

　　3.笔记本电脑

　　笔记本电脑在运输途中，比如在出租汽车、地铁、飞机上，经常会被遗失;在停放的汽车、办公桌、会议室甚至是家里，也常发生笔记本电脑被外贼或者家贼盗取;在笔记本电脑故障送修时，硬盘上的数据就完全裸露在维修人员面前。针对笔记本电脑数据保护，国际上通用的防护手段就是磁盘全盘加密技术。

　　硬盘生产厂商例如希捷、西部数据和富士通等都支持全盘加密技术，将全盘加密技术直接集成到硬盘的相关芯片当中，并且与可信计算机组(TCG)发布的加密标准相兼容。在软件系统方面，赛门铁克推出的Endpoint Encryption 6.0全盘版，以及McAfee的Total Protection for Data、PGP全盘加密和北京亿赛通公司的DiskSec，都是不错的选择。

　　五、总结

　　信息系统安全需要从多方面加以考虑，需要研究整个内部网络的安全策略，并在安全策略的指导下进行整体的安全建设。本文所介绍的是一个典型的分域安全控制方案，针对不同的网络区域采用不同的技术手段进行实现加密防护。